Surveillance numérique ciblée : Science forensique appliquée aux réseaux informatiques

Sommaire

La science forensique appliquée aux réseaux informatiques est la surveillance et l'analyse de traffic réseau.

Les informations qui transitent sur les réseaux sont volatiles, conçues pour être transmises puis effacées, et les surveiller nécessite donc une approche proactive. De nombreux pays ont construit des centres d'analyse de données qui stockent des quantités énormes de données pendant des jours, des mois ou des années pour les analyser plus tard. Un adversaire peut aussi surveiller ton traffic réseau avec la collaboration de ton fournisseur d'accès à Internet, en compromettant ton routeur avec un malware, ou en surveillant tes connexions réseau filiaires ou sans fil à partir d'un véhicule de surveillance à proximité de ton domicile.

Parce que la plupart des sites web, fournisseurs d'email, et applications de messagerie utilisent le chiffrement SSL/TLS (le « s » dans « https »), un adversaire qui surveille ton traffic réseau sait généralement quels sites web tu visites, mais pas ce que tu fais sur ces sites web. Si tu utilises Tor[1], un adversaire qui surveille ton traffic réseau sait que tu utilises Tor, mais pas quels sites web tu visites ni ce que tu fais sur ces sites web.

Tor est vulnérable aux attaques par corrélation, mais de telles attaques sont difficiles à mettre en oeuvre même pour des adversaires puissants. Les poursuites judiciaires contre le hacker anarchiste Jeremy Hammond sont un exemple d'une attaque par corrélation qui a fonctionné : les moments où le pseudonyme qu'il utilisait dans des salons de discussion était « en ligne » (obtenus par une analyse de son traffic réseau) ont été corrélés avec les moments où une opération de surveillance physique l'observait chez lui pour prouver que le pseudonyme lui appartenait[2].

Utilisée par les tactiques : Incrimination

Mesures d'atténuation

NomDescription
Bonnes pratiques numériques

Tu peux adopter de bonnes pratiques numériques, et en particulier utiliser Tor[1], pour que ce soit plus difficile pour un adversaire de surveiller et analyser ton traffic réseau.

Chiffrement

Tu peux chiffrer des données « en mouvement » pour que ce soit plus difficile pour un adversaire d'analyser ces données grâce à la science forensique appliquée aux réseaux informatiques.

Cloisonnement

Un adversaire peut établir des liens entre différentes identités numériques grâce aux empreintes laissées par leurs traffics réseau. Pour contrer ça, tu peux cloisonner différentes identités numériques en :

  • Utilisant Tails[3] et en redémarrant entre chaque session.
  • Utilisant Qubes OS[4] avec différentes machines virtuelles Whonix[5] que tu n'utilises pas simultanément.